Mehr Ausgaben, mehr Sicherheitslücken: Die unangenehme Wahrheit über den ROI der Cybersicherheit
Marks and Spencer hatte im vergangenen Jahr mit einem Gewinn von mehreren hundert Millionen Pfund gerechnet. Im Jahresabschlussbericht wurde jedoch nur ein Bruchteil davon erzielt.
Der Gewinn von M&S schmolz dahin, weil ein Ransomware-Angriff den Online-Handel für sechs Wochen lahmlegte und die Logistik über Monate hinweg beeinträchtigte. Das Unternehmen verlor in Echtzeit an Wert, während die Sanierungsbemühungen nur schleppend vorankamen.
Diese Zahl wurde zu einem wiederkehrenden Thema, als ich mich in einer kürzlich erschienenen Folge des Podcasts „The Segment “ mit Andrew Rubin, dem CEO und Gründer von Illumio, unterhielt. Damit wird etwas, worüber die Branche seit Jahren redet, in einer konkreten, unbestreitbaren Zahl festgehalten: Seit einem Jahrzehnt geben Unternehmen jedes Jahr mehr für Cybersicherheit aus.
Sie haben mehr Werkzeuge angeschafft und ein höheres Budget bereitgestellt. Die einzigen Zahlen, die schneller gewachsen sind als die Investitionen, sind die Anzahl der Sicherheitsverletzungen, das Ausmaß dieser Sicherheitsverletzungen und die gesamten wirtschaftlichen Kosten der Zerstörung.
Das ist ein Muster, das in jedem Sitzungssaal zu schwierigen Fragen führen sollte. Die meisten Vorstände fragen jedoch nicht danach – zumindest noch nicht.
Laut Andrew ist das Investitionsmodell für Cybersicherheit gescheitert. Mehr Geld für Cybersicherheit auszugeben, hat das Problem der Datenpannen nur noch verteuert.
Solange die Verantwortlichen im Bereich der Cybersicherheit nicht bereit sind, das ROI-Problem der Cybersicherheit anzuerkennen, wird sich dieser Kreislauf fortsetzen. Die Kluft zwischen Sicherheitsausgaben und -ergebnissen vergrößert sich immer weiter, und wir brauchen ein grundlegend anderes Modell.
ROI: Daten, die die Cyberbranche stillschweigend ignoriert hat
Andrew bezeichnet sich selbst als Anhänger von Mathematik und Daten, und die Mathematik hier ist eindeutig.
Laut Gartner erreichten die weltweiten Ausgaben für Informationssicherheit im Jahr 2024 193 Milliarden US-Dollar. Es wird erwartet, dass der Markt im Jahr 2026 ein Volumen von 240 Milliarden Dollar erreichen wird. IDC prognostiziert, dass die weltweiten Sicherheitsausgaben bis 2028 377 Milliarden US-Dollar erreichen werden.
Gleichzeitig verzeichnete der IBM-Bericht „ Cost of a Data Breach “ über fast ein Jahrzehnt hinweg einen jährlichen Anstieg der durchschnittlichen Kosten von Datenschutzverletzungen.
Die Ausgaben für Cybersicherheit steigen stetig. Unterdessen steigt die Zahl der gemeldeten Verstöße weiter an. Die wirtschaftlichen Auswirkungen von Cyberangriffen auf die Weltwirtschaft werden mittlerweile jährlich in Billionenhöhe gemessen.
Andrew wies ausdrücklich darauf hin, dass dies nicht bedeute, dass alles, was die Branche tut, falsch sei. Manche Kontrollmaßnahmen funktionieren, und manche Investitionen verringern tatsächlich die Häufigkeit oder Schwere von Vorfällen, die sonst schlimmer wären.
Wenn Sie jedoch als Sicherheitsverantwortlicher vor einem Vorstand präsentieren und ein Vorstandsmitglied die Zahlen analysiert und fragt, warum ein Jahrzehnt beschleunigter Investitionen die Sicherheitslücken nicht verringert hat, benötigen Sie eine bessere Antwort als „Ohne diese Maßnahmen wäre es noch schlimmer“.
Im Jahr 2026, wenn Aufsichtsbehörden, Versicherer und Investoren den Sicherheitsergebnissen mehr Aufmerksamkeit schenken als je zuvor, drängt die Zeit.
Warum das traditionelle Wertpapieranlagemodell strukturell gescheitert ist
Andrew identifizierte drei mögliche Reaktionen auf die Diskrepanz zwischen Ausgaben und Ergebnissen:
- Das gesamte Modell verwerfen und von vorne beginnen, was, wie er selbst zugab, wahrscheinlich eine Überreaktion ist.
- Fügen Sie neue Funktionen hinzu, wobei Sie berücksichtigen, dass das, was in der Vergangenheit funktioniert hat, zwar weiterhin notwendig, aber nicht mehr ausreichend ist.
- Ändern Sie das Modell selbst, indem Sie überholte Ansätze verwerfen und durch neue ersetzen.
Seine – und meine – Ansicht ist, dass die Antwort wahrscheinlich eine Kombination aus der zweiten und dritten Option ist.
Um aber eines dieser Dinge intelligent anzugehen, muss man zunächst ehrlich darüber sein, warum das aktuelle Modell nicht funktioniert. Es gibt drei strukturelle Probleme, die selten direkt benannt werden.
Problem 1: Die Branche misst Aktivitäten statt Ergebnisse.
Im Großteil des letzten Jahrzehnts wurden Sicherheitsprogramme anhand folgender Eingangsdaten bewertet:
- Wie viele Tools werden eingesetzt?
- Wie viele Warnmeldungen werden generiert?
- Wie viele Sicherheitslücken wurden behoben?
- Wie viele Trainingseinheiten wurden absolviert?
Dies sind Aktivitätskennzahlen. Sie erklären Ihnen, was die Sicherheitsabteilung tut, aber sie sagen Ihnen nicht, ob die Organisation dadurch sicherer wird.
Der Grund dafür, dass dies anhält, liegt teils in der Trägheit, teils darin, dass Ergebnisindikatoren schwieriger zu definieren und schwieriger zu verteidigen sind.
Wie lässt sich beweisen, dass ein Sicherheitsverstoß nicht durch das eigene Programm verursacht wurde, sondern dadurch, dass Angreifer ein anderes Ziel gewählt haben? Das ist größtenteils nicht möglich. Die Branche beschränkte sich daher darauf, das zu messen, was messbar war, anstatt auf das, was tatsächlich wichtig war.
Das Ergebnis ist eine Generation von Sicherheitsverantwortlichen, die sehr gut darin sind, Aktivitäten zu zeigen, aber viel weniger darin, deren Wirkung darzustellen. Wenn Budgets auf Basis von Aktivitätskennzahlen verteilt werden, führt das zwar zu mehr Aktivität, aber nicht unbedingt zu besseren Ergebnissen.
Problem 2: Das Modell basiert auf Prävention.
Andrew sagte, dass das Cybersicherheitsmodell der letzten 50 Jahre darauf beruhte, Bedrohungen zu stoppen. Das implizite Versprechen fast aller jemals verkauften Sicherheitsprodukte lautet in irgendeiner Form: „Setzen Sie dies ein, und das Schlimme wird nicht passieren.“
Dieses Modell hatte noch Sinn, als die Kosten für das Übersehen eines Sicherheitsvorfalls geringer waren und die Häufigkeit ausgeklügelter Angriffe überschaubar war.
Die Kosten, die durch das Übersehen eines Sicherheitsverstoßes entstehen, haben sich heutzutage dramatisch erhöht. Das Beispiel von M&S ist das anschaulichste Beispiel, das es gibt. Der Datenverstoß war der Vorfall, die monatelange Offline-Zeit jedoch die Katastrophe.
Ein Sicherheitsmodell, das darauf ausgelegt ist, alles zu stoppen, hat keinen Plan für den Fall, dass etwas durchkommt. In einem Bedrohungsumfeld, in dem Sicherheitslücken statistisch unvermeidbar sind, darf ein Plan zur Stärkung der Widerstandsfähigkeit nicht erst im Nachhinein berücksichtigt werden.
Problem 3: Die Vielzahl an Werkzeugen hat Komplexität ohne Abdeckung geschaffen.
Ein durchschnittliches großes Unternehmen setzt heute zwischen 50 und 100 Sicherheitstools ein. Jedes dieser Werkzeuge wurde angeschafft, um eine bestimmte Lücke zu schließen.
Und dennoch werden die Lücken immer größer.
Mehr Tools bedeuten nicht automatisch eine bessere Abdeckung, wenn diese Tools nicht integriert sind, die von ihnen erzeugten Signale nicht korreliert werden können und die Teams, die sie bedienen, nicht die Kapazität haben, auf jede einzelne Warnung zu reagieren.
Die Vielzahl an Werkzeugen hat in vielen Fällen die Illusion einer umfassenden Abdeckung erzeugt. In Wirklichkeit hat es die Verwaltung der Sicherheitsumgebung erschwert.
Die Angreifer passten sich an, um die Schwachstellen ihrer Werkzeuge zu finden. Die Verteidiger waren zu sehr mit der Bewältigung der Tool-Flut beschäftigt, um das zu bemerken.
Wie man Sicherheitsergebnisse in der realen Welt quantifizieren kann
Die Frage, die Andrew am häufigsten von CISOs zum Thema Nachweis des Sicherheitsnutzens gestellt bekommt, ist die schwierigste in der Branche: Wie quantifiziert man etwas, das nicht passiert ist?
Man kann nicht auf einen verhinderten Verstoß hinweisen, weil man nicht beweisen kann, dass er eingetreten wäre. Wie also erstellt man eine glaubwürdige, quantitativ fundierte Argumentation für Wertpapierinvestitionen?
Andrews Antwort lautet, aufzuhören, Prävention quantifizieren zu wollen, und stattdessen Resilienz zu quantifizieren. Hier sind konkrete Schritte, um das zu erreichen.
Messen Sie die Kosten von Vorfällen anstatt deren Abwesenheit.
Wenn ein Sicherheitsvorfall eintritt, und in den meisten Organisationen kommt es dazu, selbst wenn er nicht den Schweregrad einer Datenschutzverletzung erreicht, sind die Daten sofort verfügbar.
- Wie lange waren die Systeme ausgefallen?
- Wie hoch waren die direkten Kosten der Wiederherstellung?
- Welche Auswirkungen hatte die Ausfallzeit auf das Geschäft?
- Welches regulatorische Risiko bestand?
Diese Zahlen sind real, messbar und können in die Zukunft hochgerechnet werden.
Wenn Ihr Segmentierungstool den Explosionsradius eines Ereignisses um 60 % reduziert, bedeutet das eine messbare Verringerung des zu erwartenden Schadens. Wenn Ihre Erkennungs- und Reaktionsfähigkeit die durchschnittliche Eindämmungszeit von 48 Stunden auf vier Stunden verkürzt, bedeutet das eine messbare Reduzierung der Auswirkungen auf Ihr Geschäft.
Nutzen Sie externe Vergleichswerte, um das Gespräch zu verankern.
Andrew nannte M&S als genau das Beispiel, das öffentlich zugänglich ist und anhand dessen die Ergebnisse quantifiziert werden können – ein Beispiel, das Vorstände verstehen.
Wenn ein vergleichbares Unternehmen Hunderte von Millionen verliert, weil es monatelang offline war, dann ist das Ihr Maßstab. Zeigen Sie, wie Ihre Architektur Monate in Stunden verwandelt hätte, und Sie haben einen Business Case, den kein Vorstand ablehnen kann.
Erstelle eine Bibliothek dieser Beispiele. Vorstände reagieren viel stärker auf konkrete, nachvollziehbare Präzedenzfälle als auf abstrakte Risikorahmen.
Richten Sie die ROI-Diskussion auf die erwartete Verlustreduzierung aus.
Die Sprache der Versicherungswirtschaft ist hier nützlich, weil die Vorstände sie bereits verstehen.
Jede Organisation muss mit einem gewissen jährlichen Verlust durch Cybervorfälle rechnen; diese Schätzung basiert auf der Wahrscheinlichkeit eines Sicherheitsvorfalls, der Häufigkeit von Sicherheitsvorfällen und den durchschnittlichen Kosten eines Sicherheitsvorfalls. Die Investition in Sicherheitsanlagen sollte danach bewertet werden, inwieweit sie den erwarteten jährlichen Verlust im Verhältnis zu ihren Kosten reduziert.
Das ist eine besser zu verteidigende Herangehensweise als der Versuch, das Gegenteil zu beweisen, und sie erzwingt eine Diskussion darüber, welche Kontrollmaßnahmen tatsächlich den erwarteten Verlust beeinflussen.
Oftmals zeigt sich in solchen Gesprächen, dass einige der größten Budgetposten im Sicherheitsbudget nicht die effektivsten sind.
Die Zeit für das alte Modell läuft ab.
Ein Jahrzehnt steigender Ausgaben hat ein Jahrzehnt sich verschlechternder Ergebnisse hervorgebracht.
Irgendwann werden sich die Geldgeber von Sicherheitsprogrammen fragen, ob das Modell selbst das Problem ist. Und dieser Moment rückt schneller näher, als die meisten Sicherheitsverantwortlichen darauf vorbereitet sind.
CISOs, die in dieser Situation die Führung übernehmen und sich nicht von ihr führen lassen wollen, müssen drei Dinge tun:
- Seien Sie ehrlich darüber, was das aktuelle Modell leisten kann und was nicht.
- Verlagern Sie den Messrahmen von Aktivitäten hin zu Ergebnissen und von Präventionskennzahlen hin zu Resilienzkennzahlen.
- Richten Sie die Gespräche im Vorstand wieder auf die erwartete Schadensreduzierung und die nachweisbare Widerstandsfähigkeit aus, nicht auf die Anzahl der Werkzeuge und die Quote der Schwachstellenbehebung.
Das ist alles andere als einfach, aber wesentlich einfacher, als im Nachhinein zu erklären, warum das Modell versagt hat.
Unternehmen sollten jederzeit mit ihrem M&S-Moment rechnen. Diejenigen CISOs, die bereits den Diskurs über Sicherheit verändert haben, werden auch die Reaktion darauf anführen, wenn es soweit ist.
Hören Sie sich die vollständige Folge von „The Segment: A Zero Trust Leadership Podcast“ an auf Apple Podcasts, Spotify, oder Unsere Website.
.webp)
.webp)
